Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung erzeugt dein Mailcow ein DKIM-Schlüsselpaar und du veröffentlichst den öffentlichen Teil als TXT-Record, sodass empfangende Server deine Signaturen verifizieren können.

Voraussetzungen

  • Ein laufender Mailcow-Server mit Zugang zur Admin-UI
  • Zugriff auf die DNS-Verwaltung deiner Domain(s)

Was ist DKIM?

DKIM (DomainKeys Identified Mail) versieht ausgehende E-Mails mit einer digitalen Signatur. Der private Schlüssel signiert auf dem Mailserver, der öffentliche steht im DNS und dient dem Empfänger zur Verifikation. Beim Selbsthosten hast du beide Seiten in der Hand — Mailcow erzeugt das Schlüsselpaar, du veröffentlichst den öffentlichen Teil.

Zur Einordnung: Während SPF den Server autorisiert, sichert DKIM die Nachricht. Die Mailcow-Doku empfiehlt DKIM ausdrücklich zusätzlich zu SPF und DMARC.

Die Ausgangslage bei Mailcow

Mailcow bringt die DKIM-Verwaltung direkt mit: Du erzeugst den Schlüssel in der mailcow-UI und trägst den daraus resultierenden TXT-Record in deinem DNS ein. Die Doku ist hier eindeutig: „create a DKIM TXT record in your mailcow UI and set the corresponding TXT record in your DNS records.”

Der Standard-Selector ist dkim, der DNS-Host also dkim._domainkey.

Schritt-für-Schritt-Anleitung

1. DKIM-Key in der mailcow-UI erzeugen

Melde dich in der mailcow-Admin-UI an und öffne Configuration → Options → ARC/DKIM keys (Menübezeichnung je nach Version). Wähle die Domain, einen Selector (Standard: dkim) und eine Schlüssellänge (2048 Bit empfohlen) und erzeuge den Schlüssel. Mailcow zeigt dir anschließend den öffentlichen Schlüssel als fertigen DNS-TXT-Wert an.

2. TXT-Record im DNS anlegen

Trage den von Mailcow angezeigten Wert bei deinem DNS-Anbieter ein:

dkim._domainkey  IN TXT  "v=DKIM1; k=rsa; t=s; s=email; p=..."

Der p=-Teil ist der lange öffentliche Schlüssel aus der mailcow-UI. Wo genau du den Record anlegst, hängt vom DNS-Anbieter ab — z. B. Hetzner DNS (Anführungszeichen nicht vergessen) oder Netcup.

3. Jede Domain einzeln

Wie beim SPF-Setup gilt: Jede in Mailcow verwaltete Domain braucht ihren eigenen DKIM-Key und TXT-Record. Erzeuge in der UI pro Domain einen Schlüssel und veröffentliche ihn getrennt.

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit — je nach TTL und Caching einige Stunden, bis alle Server den Eintrag sehen.

Ergebnis prüfen

DKIM greift erst, wenn der DNS-Record und die Signierung in Mailcow zusammenpassen. Prüfe das mit dem kostenlosen MXAudit-Scanner — er zeigt DKIM, SPF und DMARC auf einen Blick.

Häufige Fehler

Schlüssel erzeugt, aber TXT nicht gesetzt (oder umgekehrt). Beide Hälften müssen zusammenpassen: der Key in der mailcow-UI und der dkim._domainkey-TXT im DNS. Fehlt einer, scheitert die Verifikation.

Schlüssel nach DNS-Eintrag neu erzeugt. Erzeugst du in der UI einen neuen Schlüssel, ändert sich der öffentliche Teil — der alte TXT-Record passt dann nicht mehr. Nach jeder Neuerzeugung den DNS-Record aktualisieren.

Selector-Mismatch. Der DNS-Host (dkim._domainkey) muss zum in Mailcow gewählten Selector passen. Weichst du vom Standard dkim ab, muss der DNS-Eintrag mitziehen.

Weitere Domains vergessen. Jede Domain braucht ihren eigenen DKIM-Key und -Record — eine vergessene Zweitdomain sendet unsigniert.